Er is een code-injectiekwetsbaarheid ontdekt in het Robot Operating System (ROS), specifiek in het ‘rostopic’ command-line hulpprogramma. Deze kwetsbaarheid treft de ROS-distributies Noetic Ninjemys en eerdere versies. Het probleem ligt bij de ‘hz’ handeling, die de publicatiesnelheid van een onderwerp rapporteert en een door de gebruiker opgegeven Python-uitdrukking via de –filter optie aanvaardt. Deze input wordt zonder sanering rechtstreeks doorgegeven aan de eval() functie, waardoor een lokale gebruiker willekeurige code kan uitvoeren.
Overzicht
De kwetsbaarheid is een code-injectieprobleem (CWE-94 en CWE-95) en heeft invloed op de versies Noetic Ninjemys, Melodic Morenia, Kinetic Kame en Indigo Igloo van ROS. Dit probleem vereist geen voorkennis van de gebruiker (PR:N) en kan leiden tot hoge impact op de beschikbaarheid, integriteit en vertrouwelijkheid.
Aanbevelingen
- Schakel over naar een ROS 2 versie, aangezien alle ROS (1) versies End-Of-Life (EOL) zijn.
Bronnen
Vraag en Antwoord
Wat is CVE-2024-41148?
Het betreft een beveiligingslek in de rostopic tool van het Robot Operating System (ROS) dat kan leiden tot willekeurige code-uitvoering.
Welke systemen zijn kwetsbaar voor CVE-2024-41148?
De kwetsbare systemen zijn ROS-distributies Noetic Ninjemys en eerdere versies zoals Melodic Morenia, Kinetic Kame en Indigo Igloo.
Bestaat er al een patch of beveiligingsupdate?
Er is geen directe patch beschikbaar, maar het wordt aanbevolen om over te schakelen naar een ROS 2 versie aangezien ROS (1) versies EOL zijn.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan willekeurige code uitvoeren op het lokale systeem waar het kwetsbare hulpprogramma wordt uitgevoerd, wat kan leiden tot volledige controle over dat systeem.
